AWS Transit Gateway實踐與使用場景的思考,aws 面試ppt

AWS Transit Gateway實踐與使用場景的思考

AWS Transit Gateway是一項服務，可以將用戶的AmazonVirtual Private Clouds(VPC)和本地網絡連接到一個網關（AWS TransitGateway簡稱TGW，下文會混用這兩個詞，但實質就是一樣的意思）。隨著AWS上運行的工作負載數量不斷增加，必須能夠跨多個賬戶和Amazon VPC擴展您的網絡，才能跟上發展步伐。現在，您可以使用對等連接Amazon VPC對。但是，如果無法集中管理連接策略，那么管理眾多AmazonVPC之間的點對點連接會帶來高昂運營成本而且十分繁瑣。當VPC數量增加到數百時，構建此解決方案可能非常耗時，而且難以管理。

借助AWS Transit Gateway，只需創建和管理一條連接，這條連接從中央網關連接到您網絡中的每個Amazon VPC、本地數據中心或遠程辦公室。Transit Gateway充當中心，控制流量在所有連接的網絡（相當于輻射網絡）之間的路由方式。這種中心和輻射模型大大簡化了管理工作并降低了運營成本，因為每個網絡只需連接到Transit Gateway，而無需連接到其他所有網絡。任何新的VPC只需連接到Transit Gateway，便可自動與連接到Transit Gateway的其他所有網絡建立連接。這種連接的簡便性可以隨著網絡發展輕松擴展網絡。

TGW可以支持同一Region里的VPC互聯，也可以跨Region進行VPC互聯，同時也支持VPN的互聯，下文中的實踐是基于同一Region里的VPC互聯，之后會再繼續編寫跨Region與VPN互聯的實踐方案。

PS：TGW之前在AWS中國平臺上還沒有這項服務，但前不久發現在AWS中國里也支持此項目功能了，但只支持VPC的互聯，應該暫時還不支持跨Region的Peering Connection與VPN模式。因此本次只基于VPC的互通，考慮到訪問速度的原因使用的平臺是AWS中國。

在沒有使用TGW時，如果有多個VPC需要進行互聯，拓撲如下，每個VPC之間都需要建立對等連接，增加了擴展難度。同時如果在VPC數量非常龐大的情況下配置將會非常的復雜，管理起來也很混亂。

如果使用了TransitGateway方案后將會簡化很多，形成一個VPC間的HubSpoke架構，只需將各個VPC連接至AWS Transit Gateway，該服務就會在各個VPC之間路由流量了，簡化了VPC連接方式，拓撲如下：

我們可以把此拓撲再演變一下，如下圖：

通過一些相關配置可以實現所有VPC1~VPC4都可以訪問Share_VPC，同時仍然保持VCP1~VPC4之間的隔離性。

應用場景

全網VPC互連

構建跨數千個VPC的應用程序，無需承擔管理分布式網絡的運營負擔。通過對等連接和管理成百上千個VPC需要大量路由表，這很難部署、管理，并且容易出錯。現在，要配置的路由要少得多，因為您只需配置到AWS Transit Gateway的路由，而不是到每個VPC的路由。

應用共享

可以在所有Amazon VPC之間輕松共享AWS服務，如DNS、ActiveDirectory和IPS/IDS。

負載均衡

TGW支持負載均衡，當需要高帶寬連接時，TGW還支持ECMP負載均衡模式，來提供鏈路帶寬，輕松滿足帶寬擴容能力。

安全防護

任何VPC之間的訪問都必須通過TGW路由至一個安全VPC（可以在里面部署防火墻、WAF等安全設備）進行中轉，以此來進行安全防護功能。

集中審計與管理

可以單獨部署一個集中審計與管理的VPC，通過TGW與所有VPC進行連接，此時可以方便的進行日志審計與集中管理，對于一些態勢感知或是SIEM等應用也同樣適應。

蜜罐部署

把蜜罐放置在一個公共VPC中，通過TGW可以讓所有VPC都可以訪問部署了蜜罐的VPC，以此解決連接性問題。

AWS TransitGateway配置實戰

網絡拓撲：

實驗目的：

在實現VPC1與VPC2安全隔離的同時都可以訪問VPC_Core里的實例。

配置步驟

VPC配置（配置略），配置了3個VPC，分別為VPC1、VPC2、VPC_Core。

基于VPC分別創建相應的VPC子網（配置略）。

分別為每個VPC創建相應的IGW，并且配置IGW的缺省路由，以使其可以訪問Internet（配置略）。

VPC1的IGW路由配置

VPC2的IGW路由配置

VPC_Core的IGW路由配置

創建EC2實例

分別在VPC1與VPC2里創建兩個EC2實例，在VPC_Core里創建一個EC2實例。

EC2實例標簽與私網地址如下：

VPC1_Subnet1_EC2A：192.168.0.151

VPC1_Subnet2_EC2A：192.168.1.20

VPC2_Subnet1_EC2A：172.16.0.250

VPC2_Subnet2_EC2A：172.16.1.81

VPC_Core_EC2A：10.1.1.14

創建TGW（TransitGateways）

等待TGW狀態從pending變為available后，則說明TGW創建完成。

Transit Gateway Attachments

把新創建的TGW與VPC進行關聯

分別把所有VPC與TGW進行關聯。等待Attachment變化available后則說明生效。

TGW路由配置

通過路由表的配置實現VPC1、VPC2與VPC_Core的互連，同時保持VPC1與VPC2的隔離。

增加VPC1路由表的配置，使VPC1可以訪問VPC_Core 10.1.1.0/24網段。

同理，添加VPC2至VPC_Core10.1.1.0/24的TGW路由。

添加VPC_Core至VPC1192.168.0.0/16與VPC2 172.16.0.0/16的TGW路由。

到此所有配置完成，查看TGW的TransitGateway route Tables的路由表，TGW里有至所有VPC（VPC1、VPC2）的路由，由此可以實現VPC間HubSpoke的連接，但是VCP1與VPC2的路由表里只有至VPC_Core的路由。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。